<div dir="ltr">True. May be cumbersome if device-ids are of a dynamic nature and not always known ahead of time.<div><br></div><div>Thanks.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 7, 2015 at 4:35 AM, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net" target="_blank">victor@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 12/12/2014 07:18 PM, Adrian Falk wrote:<br>
> I would like to pass back a uint32_t value that represents a value<br>
> extracted from the protocol packet.<br>
><br>
> This uint32_t value is similar to a device-id; there exist many<br>
> device-ids for each flow and I'd like the Suricata alert to be able to<br>
> identify the offending device in the alert.<br>
<br>
</span>An alternative approach would be to create a rule keyword for the<br>
device-ids and then create rules that have both the decoder-event<br>
keyword and the 'device-ids' keyword.<br>
<br>
Cheers,<br>
Victor<br>
<span class=""><br>
> Thanks.<br>
><br>
> On Fri, Dec 12, 2014 at 11:13 AM, Victor Julien <<a href="mailto:victor@inliniac.net">victor@inliniac.net</a><br>
</span><span class="">> <mailto:<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>>> wrote:<br>
><br>
>     On 12/12/2014 04:37 PM, Adrian Falk wrote:<br>
>     >     From an app layer pre-processor , when<br>
>     >     AppLayerDecoderEventsSetEventRaw() is called, is it possible to add<br>
>     >     a custom field into the decoder event? An example of a custom field<br>
>     >     would be a field extracted from a packet that triggered the decoder<br>
>     >     event that I would like to have show up in a Suricata alert.<br>
><br>
>     No, it's just an id that the rule language uses to match an<br>
>     app-layer-event against. No other info is made available currently.<br>
><br>
>     What would you need to pass back?<br>
><br>
>     --<br>
>     ---------------------------------------------<br>
>     Victor Julien<br>
>     <a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
>     PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
>     ---------------------------------------------<br>
><br>
>     _______________________________________________<br>
>     Suricata IDS Devel mailing list:<br>
>     <a href="mailto:oisf-devel@openinfosecfoundation.org">oisf-devel@openinfosecfoundation.org</a><br>
</span>>     <mailto:<a href="mailto:oisf-devel@openinfosecfoundation.org">oisf-devel@openinfosecfoundation.org</a>><br>
<span class="im HOEnZb">>     Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Participate:<br>
>     <a href="http://suricata-ids.org/participate/" target="_blank">http://suricata-ids.org/participate/</a><br>
>     List:<br>
>     <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
>     Redmine: <a href="https://redmine.openinfosecfoundation.org/" target="_blank">https://redmine.openinfosecfoundation.org/</a><br>
><br>
<br>
<br>
</span><div class="HOEnZb"><div class="h5">--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
</div></div></blockquote></div><br></div>